• IT-Karriere:
  • Services:

Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke

Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe.
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe. (Bild: Gerd Altmann)

Seit über 90 Tagen weiß Microsoft von einer Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt. Trotzdem wurde die Lücke bisher nicht geschlossen. "Heute ist Tag 91, also ist die Lücke jetzt öffentlich. Ich halte den Schweregrad für relativ niedrig, aber man kann damit relativ einfach eine ganze Windows-Flotte ausschalten. Es lohnt sich also, sich dessen bewusst zu sein", schreibt der Entdecker Tavis Ormandy von Googles Sicherheitsinitiative Project Zero auf Twitter. Nach den Richtlinien des Projekts hat ein Hersteller 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Stellenmarkt
  1. Kreis Segeberg, Kreis Segeberg
  2. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)

Symcrypt wird von Windows 8 standardmäßig für symmetrische Verschlüsselungsfunktionen verwendet. Seit Oktober 2017 nutzt Windows 10 Symcrypt standardmäßig für alle kryptographischen Funktionen. Mit Hilfe eines präparierten X.509-Zertifikats lässt sich eine endlose Rechenoperation triggern, welche für einen Denial-of-Service-Angriff (DoS) genutzt werden kann.

"Ich habe festgestellt, dass das Einbetten des Zertifikats in eine S/MIME-Nachricht, eine Authenticode-Signatur, eine Schannel-Verbindung usw. jeden Windows-Server (z. B. IPsec [VPN], IIS [nternet Information Services], Exchange usw.) zum Erliegen bringt und (je nach Kontext) das Rebooten der Maschine erfordern kann", schreibt Ormandy in einem Bugreport. Viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie Antivirenprogramme), würden diese Routinen aufrufen - und könnten damit das System zum Stillstand bringen. Neben der Fehlerbeschreibung veröffentlicht Ormandy auch ein Proof-of-Concept-Zertifikat (PoC), mit dem das Problem nachvollzogen werden kann.

Ormandy hatte die Sicherheitslücken bereits im März vor der Open-Source-Veröffentlichung von Symcrypt gemeldet. Der Code der Software steht seit April auf Github. Microsoft will laut Ormandy erst im Juli Patches für die Sicherheitslücken veröffentlichen, da beim Testen Probleme aufgetreten seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-40%) 23,99€
  2. (-75%) 4,99€
  3. 4,15€
  4. (-35%) 25,99€

Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Elektromobilität: Diese E-Autos kommen 2020 auf den Markt
Elektromobilität
Diese E-Autos kommen 2020 auf den Markt

Bei Käufern wird die höhere Umweltprämie, bei den Herstellern werden die strengeren CO2-Grenzwerte die Absatzzahlen von Elektroautos ankurbeln. Interessenten haben 2020 eine noch größere Auswahl, hier ein Überblick über die Neuerscheinungen.
Ein Bericht von Dirk Kunde

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /